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Capítulo 1 
Gerenciar permissões de arquivo e 


propriedade 


1.1. Objetivos 


e Gerenciar permissões de acesso em arquivos regulares e especiais, bem como 


diretórios; 


e Usar os modos de acesso, como SUID, SGID e sticky bit para manter a 


segurança; 


e (Como mudar a máscara de criação de arquivo. 


www.4linux.com.br 


Capítulo 1 Gerenciar permissões de arquivo e propriedade - 4 
1.2. Mãos a obra 
Em sistemas GNU/Linux o ponto forte na administração de usuários, está no 


sistema de permissão de arquivos. O administrador determina quais usuários e 


grupos tem acesso de leitura, escrita e execução no sistema. 





Como exibir as permissões de um arquivo? 














Através do comando Is é possível conhecer as permissões de um arquivo, elas 


são separadas por dono, grupos e outros. 
Dono (u) - Permissão ao dono do arquivo, quem por exemplo criou; 
Grupo (g) - Permissão ao grupo dono do arquivo, o grupo do usuário que criou; 


Outros (0) - Permissão a outros, usuários quem não fazem parte do grupo. 


Vamos a prática 





# Is -l /etc/passwd 














ru-r--r-- 1 root root 1260 set 22 04:19 zetczpassud 


Em nosso exemplo foi listado com detalhes as propriedades do arguivo 


/etc/passwd. Vamos detalhar as informações exibidas: 
- > Tipo de objeto (arquivo); 
rw-r--r-- > Sistema de permissão (U G O); 
1 > Numero de objetos no sistema; 


root > Dono do arquivo; 
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root > Grupo dono; 

1260 > Tamanho; 

Set 22 > Data de criação; 
04:19 — Hora de criação; 


/etc/passwd > Localização e nome do arquivo. 


Em tipo de objeto a letra “d” é exibida quando listamos com detlahes as 


propriedades de um diretório. Vamos a prática: 


Vamos a prática 





# Is -ld /etc 














ruxr-xr-x Of root root 6144 Set 27 16:57 zetc 


Outras letras que representam os tipos de objetos: 
| — Link simbólico; 

c > Dispositivo de caracter; 

b > Dispositivo de bloco; 

p > Canal fifo; 


s > Socket. 
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Para pesquisar no sistema por tipo, use o comando find: 





# find / -type l 














Em nosso exemplo a opção “type” com “I” foi usada para pesquisar em todo 


sistema, arquivos do tipo Link simbólico. 


Permissão Octal e Literal 


A saída do comando Is -l exibe as permissões em forma literal (rwx), mas 


podemos exibir também de forma octal através do comando stat. 


Vamos a prática 











# stat /etc/passwd 








“*etcrpassud” 

1250 Blocks: 4 IU Block: 10:24 arguivo comum 
301h-769d Inode: 79116 Links: 1 

(gbhddz-ryu-r-—r>——) Mid: < HA root) Gid: |< A root) 


2010-09-27 10:02:27. ABABOADHA -A38 
2010-09-22 04:19:41. 0000400006 -AJH 
2010-09-22 04:19:41. 000000008 -AJH 





Na linha “Access” podemos ver a permissão 0644 em forma octal e -rw-r--r-- 


em forma literal. Vamos entender os dois modos: 
Modo literal 
r > Permissão de leitura; 
w > Permissão de escrita; 


x — Permissão de execução. 
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A letras aparecem nos três níveis de permissão (U GO) 
U G O 


rWx rWx TWX 


Cada letra tem um valor que somada define a permissão octal. 


U G O 


421 421 421 


O arquivo /etc/passwd tem permissão octal 644 


U G O 
rW- r-- r-- 
4+2. 4 4 


Alterando permissões 


É possível alterar as permissões de um arquivo de forma literal e octal, 


através do comando chmod. Vamos a prática: 


1Primeiro crie um arquivo de nome carta.txt 





$ touch carta.txt 
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Exiba as permissões do arquivo em octal e literal. 





$ stat carta.txt 





= | 








“carta. txt 

H Blocks: H I0 Block: 4096 arquivo comum vazio 
309h-777d Inode: 79579 Links: 1 

(0644:—ru-r--r--) Uid: C 1808-7 aluno) Gid: C 10087 aluno) 
2A10-09-2Z7 18:34:12.0HH00H000H00 -A300 

2010-09-27 168:34:12.0HH00H00H000 -A30 

2010-09-27 18:34:1z.ğğüppfäüäü -AJH 





Para alterar com o comando chmod: 





$ chmod u=rwx,g=rw o=rw carta.txt 














ou 





$ chmod 766 carta.txt 














Veja as novas permissões 








$ stat carta.txt 











ccess: (A766z-ruxru-rw-) Uid: ( 18002 aluno) Gid: É 180802 aluno) 
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Mudar dono e grupo 


E possível alterar o dono e/ou o grupo de um arquivo através dos comandos 


chown e chgrp. Vamos a prática: 


Alterando o dono do arquivo carta.txt 





# chown joao carta.txt 











Alterando o grupo do arquivo carta.txt 





# chgrp vendas carta.ixt 











Confira o resultado através do comandos Is 





+ Is -l /home/aluno/carta.txt 
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Permissão padrao 


A permissão padrão para novos arquivos e diretórios, pode ser configurada 


atravês do comando umask. Você pode tanto exibir a permissão atual como altera-la. 














# umask 
0 0 2 2 
Permissão Especial Usuário Grupo Outros 


A permissão padrão de um arquivo é de 0666 e de um diretório é de 0777, ao 
criar um arquivo ou diretório é calculado uma nova permissão, subtraindo o valor do 


umask da permissão padrão. Exemplo: 


0666 - 0022 = 0644 para arquivos 


0777 - 0022 = 0755 para diretórios 


Regra do umask 


Para arquivos existe um regra onde é aplicada quando o valor do umask é par 


e impar. Exemplo: 
0666 - 0015 = 0662 > Subtrai de 7 e não de 6. 


0666 - 0022 = 0644 > Subtrai de 6. 
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Permissão Especial 


Além das permissões RWX (leitura, escrita e execução) é possível definir 
permissões especiais que envolvem segurança ao sistema e privacidade ao usuários. 


Veja a descrição de cada uma: 


SUID — Tipo de permissão especial onde é aplicada em arquivos executáveis, 
para que eles rodem com as mesmas permissões do seu dono, e não com as 


permissões do usuário que esta executando. Exemplo: 





# stat /usr/bin/passwd 

















ccess: (4755--rusr-xr-x) lid: É Hz root) Gid: É Hz 


PP 


Um arquivo com permissão SUID recebe o numero “4” e um “s” no lugar do 


tt J) 


x” no campo de execução para dono. 


SGID = Tipo de permissão especial onde é aplicada em arquivos executáveis e 
em diretórios, para que eles rodem com as mesmas permissões do grupo dono, usado 


para limitar o acesso a um executável do sistema a um determinado grupo. Exemplo: 





# stat /usr/bin/chage 














ccess: (27552-ruxr-sr-x) Uid: | fz root) Gid: t d2z shadou) 





(e? BD 


Um arquivo com permissão SGID recebe o numero “2” e um “s” no lugar do 


tt J) 


x” no campo de execução para grupo. 
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STICKY => Tipo de permissão especial onde é aplicada em diretórios, que 


impede que usuários apaguem arquivos não criados por eles mesmos. Exemplo: 





# stat /tmp 














ccess:! (1777-druxruxrut) Uid: < Hz root) Gid: É Hz 





Um diretório com permissão STICKY recebe o numero “1” e um “t” no lugar 


do “x” no campo de execução para outros. 
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Capítulo 2 


Gerenciando 


2.1. Objetivos 


* Trobleshooting: Gerenciar permissões de grupos para conceder acesso a 


arquivos e permissões especiais. 
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2.2 Troubleshooting 





Como configurar permissões especiais para grupos? 














Vamos criar um cenário onde um diretório publico na empresa pode ser 
acessado por todos os usuários, mas os arquivos criados nele devem pertencer a 0 


grupo do diretório e não ao grupo do usuário que criou o arquivo. Vamos a prática: 


Primeiro vamos criar o diretório publico 





# mkdir /publico 














Crie também o grupo que será o grupo dono. 











# addgroup vendas 








Altere o grupo do diretório para vendas 





# chgrp vendas /publico 














Adicione a permissão especial SGID ao diretório publico 





# chmod 2777 /publico 
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Verifique as permissões do diretório 








# stat /publico 








ccess: l(277?-druxrusrux) Uid: | fz root) Gid: ( 10024 vendas) 





Acesse o diretório publico com um outro usuário e crie um novo arquivo 








$ cd /publico & touch teste.txt 








Verifique o dono e grupo do arquivo criado 








$ Is -l teste.txt 

















ru-r--r-- 1 aluno vendas À det 27 21:52 teste txt 
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